Organisaties die onder de Rijksoverheid vallen krijgen nog altijd het advies geen gebruik te maken van Microsoft Copilot. Wel heeft Microsoft inmiddels aanvullende maatregelen aangeboden om eerder vastgestelde privacyrisico's weg te nemen. Dat laat demissionair staatssecretaris Van Marum voor Digitalisering in een brief aan de vaste commissie Digitale Zaken weten.

SLM Rijk (Strategisch Leveranciersmanagement Microsoft) voerde eind vorig jaar een Data Protection Impact Assessment (DPIA) naar Microsoft Copilot uit. Bij een DPIA worden de privacyrisico's van bepaalde projecten of toepassingen in kaart gebracht en oplossingen aangedragen om die te verhelpen. De privacytoets van SLM Rijk toonde een aantal risico's aan die vooral te maken hebben met een gebrek aan transparantie (pdf).

"Uit de DPIA volgt dat er in dit stadium vier hoge risico’s gepaard gaan met het gebruik van M365 Copilot. In hoofdzaak zijn dit risico’s die veroorzaakt worden door onvoldoende transparantie van Microsoft over verwerkingen van persoonsgegevens", aldus SLM Rijk. Die stelde op basis van de bevindingen uit de DPIA dat Microsoft Copilot nog niet compliant door Rijksorganisaties te gebruiken is.

Het advies om Microsoft Copilot niet in te zetten is nog altijd van kracht. Van Marum meldt dat Microsoft naar aanleiding van de vastgestelde hoge risico's inmiddels wel aanvullende maatregelen heeft aangeboden. "SLM Rijk is hierover actief met Microsoft in gesprek. SLM Rijk zal deze aanvullende maatregelen vervolgens beoordelen en op basis van deze beoordeling een geactualiseerde DPIA publiceren en een geactualiseerd advies uitbrengen", stelt de staatssecretaris. Wanneer de bijgewerkte DPIA en advies zijn te verwachten laat Van Marum niet weten.